樊瑞
《數(shù)據(jù)安全法》和《個人信息保護法》建立了中國數(shù)據(jù)出境安全管理的基本框架,《數(shù)據(jù)出境安全評估辦法》明確了具體操作規(guī)則。圖/IC
中國對數(shù)據(jù)出境的安全評估有了明確規(guī)則。
7月7日,國家互聯(lián)網(wǎng)信息辦公室(下稱“國家網(wǎng)信辦”)公布《數(shù)據(jù)出境安全評估辦法》(下稱《辦法》)。該《辦法》自2022年9月1日起施行。
國家網(wǎng)信辦有關(guān)負責(zé)人表示,出臺《辦法》旨在落實《網(wǎng)絡(luò)安全法》《數(shù)據(jù)安全法》《個人信息保護法》的規(guī)定,規(guī)范數(shù)據(jù)出境活動,保護個人信息權(quán)益,維護國家安全和社會公共利益,促進數(shù)據(jù)跨境安全、自由流動,切實以安全保發(fā)展、以發(fā)展促安全。
多位專家在接受《財經(jīng)》記者采訪時表示,《辦法》彌補了數(shù)據(jù)出境的安全漏洞,健全了數(shù)據(jù)出境安全屏障。他們建議,相關(guān)企業(yè)在數(shù)據(jù)出境活動發(fā)生前,應(yīng)依法開展風(fēng)險自評估、申報,并通過數(shù)據(jù)出境安全評估。
《辦法》中明確,其適于數(shù)據(jù)處理者向境外提供在中國境內(nèi)運營中收集和產(chǎn)生的重要數(shù)據(jù)和個人信息的安全評估。同時提出,數(shù)據(jù)出境安全評估堅持事前評估和持續(xù)監(jiān)督相結(jié)合、風(fēng)險自評估與安全評估相結(jié)合等原則。
《辦法》明確,數(shù)據(jù)出境活動包括兩種情況:一是數(shù)據(jù)處理者將在境內(nèi)運營中收集和產(chǎn)生的數(shù)據(jù)傳輸、存儲至境外。二是數(shù)據(jù)處理者收集和產(chǎn)生的數(shù)據(jù)存儲在境內(nèi),境外的機構(gòu)、組織或者個人可以訪問或調(diào)用。
《辦法》還規(guī)定,在四種情況下,數(shù)據(jù)處理者應(yīng)當(dāng)申報數(shù)據(jù)出境安全評估。
(一)數(shù)據(jù)處理者向境外提供重要數(shù)據(jù);(二)關(guān)鍵信息基礎(chǔ)設(shè)施運營者和處理100萬人以上個人信息的數(shù)據(jù)處理者向境外提供個人信息;(三)自上年1月1日起累計向境外提供10萬人個人信息或者1萬人敏感個人信息的數(shù)據(jù)處理者向境外提供個人信息;(四)國家網(wǎng)信部門規(guī)定的其他需要申報數(shù)據(jù)出境安全評估的情形。
根據(jù)《關(guān)鍵信息基礎(chǔ)設(shè)施安全保護條例》,關(guān)鍵信息基礎(chǔ)設(shè)施運營者,是指公共通信和信息服務(wù)、能源、交通、水利、金融、公共服務(wù)、電子政務(wù)、國防科技工業(yè)等重要行業(yè)和領(lǐng)域的,以及其他一旦遭到破壞、喪失功能或者數(shù)據(jù)泄露,可能嚴(yán)重危害國家安全、國計民生、公共利益的重要網(wǎng)絡(luò)設(shè)施、信息系統(tǒng)等的運營企業(yè),大型電信運營商、能源企業(yè)、民航公司、金融機構(gòu)等都屬于此類主體范圍。
而為何將處理100萬人的個人信息作為是否需要進行安全評估的標(biāo)準(zhǔn)?中國法學(xué)會網(wǎng)絡(luò)與信息法學(xué)研究會副秘書長、中國社科院法學(xué)所網(wǎng)絡(luò)與信息法室副主任周輝透露,在《辦法》制定中,100萬人的標(biāo)準(zhǔn)曾經(jīng)有過爭議,“許多中國企業(yè)的用戶都可能超過這一標(biāo)準(zhǔn),雖然100萬人占中國人口的比重并不大,但是要放在全球范圍內(nèi)來看,這是很大的一個規(guī)?!?。
北京德恒律師事務(wù)所合伙人、網(wǎng)絡(luò)安全應(yīng)急技術(shù)國家工程實驗室數(shù)據(jù)安全咨詢專家劉揚對《財經(jīng)》記者表示,“我的理解是,對達到100萬人以上個人信息的數(shù)據(jù)處理者的安全要求,應(yīng)當(dāng)?shù)韧陉P(guān)鍵信息基礎(chǔ)設(shè)施運營者?!币簿褪钦f,相關(guān)機構(gòu)如果出現(xiàn)數(shù)據(jù)安全問題,對公眾造成的影響不低于關(guān)鍵信息基礎(chǔ)設(shè)施運營者。
那么,哪些類型的個人信息會受到重點關(guān)注?
周輝指出,結(jié)合《個人信息保護法》的有關(guān)規(guī)定來看,個人信息是以電子或者其他方式記錄的,與已識別或者可識別的自然人有關(guān)的各種信息,但不包括匿名化處理后的信息。例如,個人的賬號密碼、身份證件號碼、出生日期等。此外,還包括敏感個人信息,即一旦被泄露或被非法使用,容易導(dǎo)致具體個人人格尊嚴(yán)受到侵害,或人身、財產(chǎn)安全受到危害的個人信息,具體包括生物識別、宗教信仰、特定身份、健康狀況、金融賬戶、行蹤軌跡等信息,以及不滿14周歲的未成年人信息。
根據(jù)《辦法》,數(shù)據(jù)出境安全評估主要包括七個方面。
一是數(shù)據(jù)出境的目的、范圍、方式等的合法性、正當(dāng)性、必要性。
二是境外接收方所在國家或者地區(qū)的數(shù)據(jù)安全保護政策法規(guī)和網(wǎng)絡(luò)安全環(huán)境對出境數(shù)據(jù)安全的影響;境外接收方的數(shù)據(jù)保護水平是否達到中國法律、行政法規(guī)的規(guī)定和強制性國家標(biāo)準(zhǔn)的要求。
三是出境數(shù)據(jù)的規(guī)模、范圍、種類、敏感程度,出境中和出境后遭到篡改、破壞、泄露、丟失、轉(zhuǎn)移或者被非法獲取、非法利用等風(fēng)險。
四是數(shù)據(jù)安全和個人信息權(quán)益是否能夠得到充分有效保障。
五是數(shù)據(jù)處理者與境外接收方擬訂立的法律文件中是否充分約定了數(shù)據(jù)安全保護責(zé)任義務(wù)。
六是遵守中國法律、行政法規(guī)、部門規(guī)章情況。
七是國家網(wǎng)信部門認為需要評估的其他事項。
《辦法》也明確了數(shù)據(jù)出境安全評估的具體流程。
首先是數(shù)據(jù)處理者在申報前,應(yīng)當(dāng)開展自評。此后,應(yīng)通過所在地省級網(wǎng)信部門向國家網(wǎng)信部門提交申報,而國家網(wǎng)信部門在收到申報材料之日起7個工作日內(nèi),確定是否受理,并通知申報者。受理申報后,國家網(wǎng)信部門組織國務(wù)院有關(guān)部門、省級網(wǎng)信部門、專門機構(gòu)等進行安全評估。國家網(wǎng)信部門在發(fā)出受理通知書之日起45個工作日內(nèi)完成評估。通過數(shù)據(jù)出境安全評估的結(jié)果有效期為2年。如果在有效期內(nèi),發(fā)生影響出境數(shù)據(jù)安全的情況,需要重新申報評估。
《辦法》距離正式生效不足兩個月,將對企業(yè)產(chǎn)生什么影響?
世輝律師事務(wù)所合伙人王新銳指出,本身用戶數(shù)量較多(即超過100萬)的企業(yè),以及業(yè)務(wù)中涉及大量出境場景的跨國企業(yè),都會受到較大影響,可能觸發(fā)安全評估。
周輝表示,《辦法》實施后,將對達到評估申報標(biāo)準(zhǔn)的數(shù)據(jù)處理者產(chǎn)生約束性影響,尤其是金融、電信、衛(wèi)生健康、能源、民航等重要行業(yè)和領(lǐng)域。這些領(lǐng)域的機構(gòu)向境外提供的數(shù)據(jù),一方面可能涉及國家安全、經(jīng)濟運行、社會穩(wěn)定、公共健康和安全的重要數(shù)據(jù);另一方面因為自身被確定為關(guān)鍵信息基礎(chǔ)設(shè)施運營者,同時,其處理數(shù)據(jù)的量級輕易即可達到“100萬人以上”。
周輝建議,上述相關(guān)行業(yè),應(yīng)當(dāng)盡快適應(yīng)《辦法》的要求,在數(shù)據(jù)出境活動發(fā)生前依法開展自評估、申報并通過評估。如果目前不符合《辦法》的管理要求,應(yīng)當(dāng)在《辦法》規(guī)定的期限(2023年3月1日)前完成整改。周輝還表示,這可能意味著數(shù)據(jù)出境活動頻率、數(shù)量會受到一定程度的影響。一些難以在期限內(nèi)完成整改的數(shù)據(jù)出境業(yè)務(wù),可能因合規(guī)要求而暫停甚至終止。
劉揚建議,在進行數(shù)據(jù)出境安全評估過程中,應(yīng)當(dāng)結(jié)合企業(yè)實際情況,聘請專業(yè)人員輔助評估,形成規(guī)范化流程。
在全球化背景下,中國的數(shù)據(jù)出境已呈常態(tài)化趨勢。
周輝指出,隨著全球數(shù)字經(jīng)濟的快速發(fā)展和大數(shù)據(jù)、互聯(lián)網(wǎng)等技術(shù)的廣泛應(yīng)用,數(shù)據(jù)出境活動日益普遍。目前,一些國家和地區(qū)已建立起有關(guān)數(shù)據(jù)出境的管理制度,幾乎都將數(shù)據(jù)跨境安全作為重點和出發(fā)點。
2022年5月19日,《辦法》經(jīng)國家網(wǎng)信辦2022年第10次室務(wù)會議審議通過?!掇k法》共有20條,規(guī)定了數(shù)據(jù)出境安全評估的范圍、條件和程序,為數(shù)據(jù)出境安全評估提供了具體指引。
中國科學(xué)技術(shù)大學(xué)公共事務(wù)學(xué)院、網(wǎng)絡(luò)空間安全學(xué)院教授左曉棟告訴《財經(jīng)》記者,數(shù)據(jù)是國家的戰(zhàn)略資源,“如果一個國家對于數(shù)據(jù)出境不設(shè)防,相當(dāng)于國家安全大門洞開。在當(dāng)今社會,每一個國家都應(yīng)當(dāng)建立數(shù)據(jù)出境安全的有關(guān)管理制度”。
《辦法》要求,對可能會影響國家安全、公共利益的數(shù)據(jù)出境,要經(jīng)過網(wǎng)信部門的安全評估。左曉棟指出,《辦法》在很大程度上彌補了國家安全漏洞,健全了國家數(shù)據(jù)出境安全的屏障。
實際上,中國近年正在逐步完善對于數(shù)據(jù)出境的相關(guān)立法。
2016年11月,全國人大常委會通過《網(wǎng)絡(luò)安全法》,其中第37條規(guī)定,關(guān)鍵信息基礎(chǔ)設(shè)施的運營者在中國境內(nèi)收集和產(chǎn)生的個人信息和重要數(shù)據(jù)應(yīng)當(dāng)在境內(nèi)存儲。因業(yè)務(wù)需要,確需向境外提供的,應(yīng)當(dāng)進行安全評估。同時明確,安全評估辦法由國家網(wǎng)信部門會同國務(wù)院有關(guān)部門制定。
2021年,全國人大常委會先后通過了《數(shù)據(jù)安全法》和《個人信息保護法》,將數(shù)據(jù)出境安全評估制度的實施范圍作出擴展,不再將其局限于關(guān)鍵信息基礎(chǔ)設(shè)施的運營者。
左曉棟指出,根據(jù)一系列立法,中國完善了數(shù)據(jù)出境安全評估制度的法律依據(jù)。他還指出,《數(shù)據(jù)安全法》和《個人信息保護法》建立了中國數(shù)據(jù)出境安全管理的基本框架,但具體落地還有待細則和明確。2021年10月29日,國家網(wǎng)信辦發(fā)布了《數(shù)據(jù)出境安全評估辦法(征求意見稿)》,八個月后,《辦法》正式出臺。
周輝指出,在《數(shù)據(jù)安全法》《個人信息保護法》實施前,國內(nèi)不少機構(gòu)的數(shù)據(jù)出境活動基本處于“裸奔”狀態(tài),有時數(shù)據(jù)權(quán)利人甚至都不清楚自己數(shù)據(jù)被出境,嚴(yán)重威脅著個人信息權(quán)益、社會公共利益乃至國家安全。通過立法確立了數(shù)據(jù)出境安全評估的基本制度后,涉及數(shù)據(jù)出境的機構(gòu)也迫切希望盡快明確具體的規(guī)則,以解決合規(guī)標(biāo)準(zhǔn)不清晰的問題,《辦法》由此應(yīng)運而生。
如何保證數(shù)據(jù)跨境流動安全,是一個全球命題。
歐盟的數(shù)據(jù)跨境規(guī)則主要集中在《通用數(shù)據(jù)保護條例》(GDPR)中。周輝向《財經(jīng)》記者介紹,GDPR強調(diào)向歐盟境外提供個人信息不得削弱對個人信息的保護力度,除了獲得個人信息主體知情同意等特定例外情況外,具體要求包括:
第一,需要獲得歐盟充分保護認定,這種認定實質(zhì)上是歐盟對他國法律制度、監(jiān)管機構(gòu)設(shè)置、參加國際條約等方面的評估,是最嚴(yán)格的方式。一旦進入這一白名單,數(shù)據(jù)跨境的便利性最大。目前只有新加坡、瑞士、日本等極少數(shù)國家通過了認定。
第二,未通過認定國家的數(shù)據(jù)接收方,滿足以下條件之一,歐盟的數(shù)據(jù)可以出境:1.其所在國與歐盟有數(shù)據(jù)跨境協(xié)議;2.采用歐盟委員會或歐盟委員會批準(zhǔn)的成員國通過的標(biāo)準(zhǔn)數(shù)據(jù)保護條款;3.遵守經(jīng)歐盟監(jiān)管機構(gòu)批準(zhǔn)的行為準(zhǔn)則,以及數(shù)據(jù)處理者自身的數(shù)據(jù)保護承諾。
第三,對于企業(yè)集團或跨國企業(yè)內(nèi)部子公司及其雇員的數(shù)據(jù)跨境,可以遵循“有約束力的公司規(guī)則”。該規(guī)則由企業(yè)集團跨國企業(yè)制定,且需要經(jīng)過歐盟監(jiān)管機構(gòu)批準(zhǔn)。
左曉棟表示,中國的數(shù)據(jù)出境安全管理制度,應(yīng)該說和國際慣例,特別是歐盟保持一致,“明確了數(shù)據(jù)出境安全的幾種情形”。
而美國則有不同的處理方式。周輝表示,美國自稱數(shù)據(jù)自由流動,對數(shù)據(jù)跨境沒有嚴(yán)格的法律限制,更多通過市場機制解決。但在2022年4月,美國宣布了全球跨境隱私規(guī)則(CBPR)聲明,試圖將亞太經(jīng)濟合作組織(APEC)框架下的數(shù)據(jù)跨境傳輸機制(CBPR)的適用擴展至全球范圍。CBPR的核心是建立基于CBPR和處理者隱私識別系統(tǒng)(PRP)的國際認證體系,通過在全球推廣CBPR和PRP系統(tǒng),支持所謂的數(shù)據(jù)自由流動。